قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل جاسوس‌افزار ClayRat

جاسوس‌افزار ClayRat

تا Mezo در بدافزار موبایل, نرم افزارهای جاسوسی
ترجمه به:

یک کمپین جاسوسی اندروید که به سرعت در حال تکامل است و با نام ClayRat شناخته می‌شود، به عنوان یک تهدید جدی برای کاربران، به ویژه در روسیه، ظهور کرده است. مهاجمان از ترکیبی از کانال‌های تلگرام و وب‌سایت‌های فیشینگ مشابه سوءاستفاده می‌کنند و با جعل هویت برنامه‌های محبوب مانند واتس‌اپ، گوگل فوتوز، تیک‌تاک و یوتیوب، قربانیان را به نصب این بدافزار ترغیب می‌کنند.

چگونه موش صحرایی (ClayRat) گسترش می‌یابد؟

زنجیره حمله زمانی آغاز می‌شود که کاربران ناآگاه به وب‌سایت‌های جعلی که به کانال‌های تلگرامی تحت کنترل مهاجمان لینک دارند، هدایت می‌شوند. در اینجا، قربانیان از طریق موارد زیر فریب می‌خورند تا فایل‌های APK مخرب را دانلود کنند:

  • افزایش مصنوعی تعداد دانلودها
  • توصیفات ساختگی که محبوبیت برنامه را ادعا می‌کنند

برخی از سایت‌های مخرب خود را به عنوان ارائه‌دهنده نسخه‌های بهبود یافته برنامه‌های محبوب مانند YouTube Plus جا می‌زنند و فایل‌های APK را میزبانی می‌کنند که برای دور زدن اقدامات امنیتی در دستگاه‌های دارای اندروید ۱۳ و بالاتر طراحی شده‌اند.

برخی از نمونه‌های ClayRat به عنوان dropper عمل می‌کنند و یک برنامه سبک با صفحه به‌روزرسانی جعلی Play Store ارائه می‌دهند. payload واقعی رمزگذاری شده و در فایل‌های برنامه پنهان شده است و به بدافزار اجازه می‌دهد تا محدودیت‌های پلتفرم را دور بزند و میزان موفقیت نصب را افزایش دهد.

قابلیت‌های مخرب

پس از نصب، ClayRat طیف وسیعی از قابلیت‌های نفوذی را فعال می‌کند:

  • پیام‌های کوتاه، گزارش‌های تماس، اعلان‌ها و اطلاعات دستگاه را از طریق ایمیل استخراج می‌کند
  • با استفاده از دوربین جلو عکس می‌گیرد
  • ارسال پیامک یا برقراری تماس مستقیم از دستگاه آلوده
  • فهرستی از تمام برنامه‌های نصب‌شده را جمع‌آوری کرده و آن را به سرور فرماندهی و کنترل (C2) ارسال می‌کند.

این بدافزار همچنین با ارسال لینک‌های مخرب به هر مخاطب در دفترچه تلفن قربانی، خود را به شدت تکثیر می‌کند و عملاً دستگاه‌های آسیب‌دیده را به گره‌های توزیع خودکار تبدیل می‌کند.

پیچیدگی فنی

محققان امنیتی در ۹۰ روز گذشته بیش از ۶۰۰ نمونه و ۵۰ دراپر ClayRat را مشاهده کرده‌اند. هر تکرار جدید، لایه‌هایی از ابهام را اضافه می‌کند و تشخیص را دشوارتر می‌سازد.

ارتباط با زیرساخت C2 به پروتکل‌های استاندارد HTTP متکی است و این بدافزار از کاربران درخواست می‌کند تا آن را به عنوان برنامه پیش‌فرض پیامک برای دسترسی به محتوای حساس و عملکردهای پیام‌رسانی قرار دهند. این قابلیت‌ها به مهاجمان اجازه می‌دهد تا بدون دخالت دستی، نظارت را انجام داده و دامنه دسترسی بدافزار را گسترش دهند.

اقدامات حفاظتی

با وجود قدرت بالای ClayRat، این بدافزار توسط Google Play Protect که به طور پیش‌فرض در دستگاه‌های دارای سرویس‌های Google Play فعال است، مهار می‌شود. Play Protect به طور خودکار کاربران را از نسخه‌های شناخته شده این بدافزار محافظت می‌کند.

ClayRat یک تهدید دوگانه است: از قربانیان جاسوسی می‌کند و همزمان دستگاه‌های آنها را به ابزاری برای انتشار بیشتر بدافزار تبدیل می‌کند. ترکیبی از مهندسی اجتماعی، تکنیک‌های پیشرفته فرار و توزیع خودکار، آن را به یک دشمن قدرتمند در چشم‌انداز تهدیدات اندروید تبدیل می‌کند.

پرطرفدار

کلاهبرداری نسخه «صندوق پستی شما متوقف خواهد شد»

فیشینگ, هرزنامه
کلاهبرداران آنلاین دائماً ترفندهای جدیدی را برای فریب کاربران و سرقت داده‌های ارزشمند ابداع می‌کنند. یکی از این نمونه‌ها، کلاهبرداری «نسخه صندوق پستی شما متوقف خواهد شد» است، یک کمپین فیشینگ که برای جمع‌آوری اطلاعات ورود به سیستم از قربانیان ناآگاه طراحی شده است. کارشناسان امنیت سایبری هشدار می‌دهند که این پیام‌های کلاهبرداری با هیچ شرکت، سازمان یا ارائه‌دهنده خدمات قانونی مرتبط نیستند....

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
33,940
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...